Основні загрози безпеки при завантаженні файлів і способи їх запобіганню
Завантаження файлів необхідне в різних ситуаціях і для різних цілей. Ви використовуєте завантаження сервісів, додатків, сайтів. Завантаження файлів - це основна функція систем управління контентом (CMS), сайтів, додатків для обміну повідомленнями і тп.
Однак необмежене завантаження файлів створює додаткові можливості атаки для кіберзлочинців. У цій статті ви дізнаєтеся про сім критичних проблемах безпеки завантаження файлів і дев'яти методах цього процесу.
Ризики при завантаженні файлів на ваш сайт.
Перезапис файлів
Ви можете ненавмисно перезаписати існуючий файл при завантаженні нового файлу з тим же ім'ям і розширенням. Зловмисники можуть використовувати новий файл для запуску атаки на стороні сервера, якщо перезапис файлу був критичним. Атаки на стороні сервера можуть вивести з ладу сайт або дозволити зловмисникам завантажити більше шкідливих файлів, змінивши налаштування безпеки сервера.
Стеження
При атаках стеження зловмисник прослуховує трафік між двома машинами в мережі. Хмарне сховище дуже вразливе до атак стеження, оскільки файли зберігаються і передаються через Інтернет. Хакери можуть навіть отримати доступ до зашифрованих файлів в хмарі.
Компанії повинні передавати файли через безпечне з'єднання і забезпечувати постійне шифрування даних, щоб запобігти доступ сторонніх до файлів, що зберігаються в хмарі. Для шифрування даних сайту використовуйте SSL сертифікат.
Завантаження дуже великих файлів.
Надзвичайно великі файли можуть привести до множинних збоїв в роботі додатків. Наприклад, зловмисники можуть виконувати атаки типу «відмова в обслуговуванні» (DDoS) або атаки ботнетів, які одночасно завантажують безліч великих файлів. В результаті система виходить з ладу, тому що у неї немає можливості одночасно виконувати допустимі операції і завантажувати великі файли.
Внесення розширень файлів в чорний список
Мета внесення розширень файлів в чорний список - відстежувати потенційно небезпечні розширення. Під час завантаження файлу система перевіряє, чи немає розширення файлу в чорному списку.
Файл відхиляється, якщо він є в списку. На жаль, ви не можете перерахувати всі можливі розширення в чорному списку. Зловмисники можуть використовувати розширення, якого немає в списку, щоб ввести систему безпеки в оману.
Перевірка універсальних розширень електронної пошти (MIME)
MIME - це стандарт, який розширює обмежені можливості електронної пошти, дозволяючи вставляти зображення, звуки і текст в повідомлення. Зловмисники можуть обійти безпеку перевірки типу MIME, щоб перевірити вміст певного файлу. Наприклад, сніффінг MIME - це метод визначення формату файлу. Хакери можуть використовувати сніффінг MIME для реалізації атак міжсайтового скриптинга (XSS).
Шкідливий контент
Завантажений вміст файлу може включати шкідливі програми, експлойти і шкідливі сценарії. Зловмисники можуть використовувати шкідливий контент, щоб змінити звичайну поведінку програми. Наприклад, хакери можуть вкрасти ключ доступу до системи, завантаживши певне шкідливе ПЗ.
Уразливості файлових метаданих
Неправильний шлях або ім'я файлу може змусити додаток скопіювати файл в неправильне місце. Це може привести до несподіваних змін файлу і ввести в оману. Наприклад, зловмисники можуть перезаписати важливі файли конфігурації системи, додавши керуючі символи в ім'я файлу. Вони також можуть змінити налаштування системи безпеки, щоб завантажити більше шкідливих файлів.
Як запобігти уразливості при завантаженні файлів
Дотримуйтесь цих порад, щоб запобігти потенційним атаки на вашу систему завантаження файлів.
Оновіть вашу систему
Багато старих платформ управління контентом мають застарілий захист від вірусів. Застарілі антивіруси шукають шкідливі файли за застарілими критеріями. В результаті застарілий захист від вірусів не може зупинити проникнення нових загроз і вірусів в ваші системи.
Перевірте типи файлів.
Операційні системи і користувачі зазвичай визначають тип файлу по його розширенню. Кожен тип файлу зазвичай має кілька відповідних розширень. Зловмисники можуть обійти системи безпеки і обдурити користувачів і операційні системи, змінивши розширення файлу.
Наприклад, зловмисники можуть перейменувати шкідливий файл .exe в файл .docx, що виглядає цілком коректно. Ви повинні перевірити тип завантаження, щоб запобігти цим атакам.
Зробіть аутентифікацію користувачів.
Методи аутентифікації користувача підтверджують особу користувача, який намагається отримати доступ до приватної інформації. Вам необхідно реалізувати надійні протоколи аутентифікації користувачів, такі як двофакторна аутентифікація (2FA), щоб запобігти потенційні загрози.
Двофакторна аутентифікація - це двоетапний процес аутентифікації. Процес включає ім'я користувача і пароль з мобільним або фізичним токеном для додаткової безпеки. Послідовність декількох факторів аутентифікації ускладнює доступ потенційного зловмисника.
Видаліть можливі вбудовані загрози.
Зловмисники можуть вбудовувати загрози в сценарії і макроси файлів, таких як PDF, Microsoft Office і зображення. Звичайне антивірусне ПЗ зазвичай не може виявити ці загрози. Ви повинні переконатися, що ваші файли не містять ніяких прихованих загроз, використовуючи такі функції, як Content Disarm and Reconstruction (CDR).
Проведіть випадкову зміну назв завантажених файлів.
Довільно змінюйте імена файлів, що завантажуються, щоб зловмисники не могли отримати доступ до завантажуваних ними шкідливим файлів. Системи відновлення контенту можуть рандомно вказувати імена файлів, додаючи випадковий суфікс до кожного імені файлу.
Помістіть загрози в карантин і видаліть віруси.
Віруси, які проникли в вашу систему, можуть згодом стати загрозою для всієї системи даних. Кращий спосіб запобігти подальшому пошкодженню файлу вірусами і погрозами - це помістити в карантин і видалити їх з вашої системи.
Зберігайте файли в зовнішньому каталозі.
Завантажте файли в зовнішні каталоги і зберігайте їх поза кореневого каталогу. Цей метод запобігає атаки зловмисників з використанням шкідливих файлів через URL-адресу веб-сайту.
Користуйтеся простими повідомленнями про помилки.
Повідомлення про помилки зазвичай показують шляхи до каталогів або параметри конфігурації сервера, щоб дати користувачеві більше контексту. Зловмисники можуть використовувати цю інформацію для експлуатації вразливостей завантаження файлів. Тому ви повинні зробити повідомлення про помилку якомога простіше.
Завантаження файлів допомагає компаніям справлятися з великими обсягами даних користувача. Проблема в тому, що розробити безпечну систему завантаження файлів непросто. Компанії повинні інвестувати в безпеку завантаження файлів, щоб запобігти дорогим витокам даних, які можуть завдати серйозної шкоди будь-якій організації. Згадані вище поради можуть допомогти вам запобігти потенційним загрозам і управляти безпекою завантаження файлів. Переклад з блогу wpmayor.com.